La protezione degli ambienti cloud richiede la protezione degli account di Identity and Access Management da compromissioni. La compromissione di un account utente con privilegi consente a un attaccante di apportare modifiche a un ambiente cloud, pertanto il rilevamento di potenziali compromissioni è essenziale per proteggere le organizzazioni di ogni dimensione. Per aiutare le organizzazioni a rimanere protette, Google Cloud registra le azioni sensibili intraprese dagli account utente IAM e notifica direttamente agli amministratori dell'organizzazione queste azioni tramite Notifiche di consulenza.
Le azioni sensibili sono azioni che possono avere un impatto negativo significativo su la tua Google Cloud organizzazione se intraprese da un malintenzionato che utilizza un account compromesso. Queste azioni di per sé non rappresentano necessariamente una minaccia per la tua organizzazione né indicano che un account è stato compromesso. Tuttavia, ti consigliamo di verificare che le azioni siano state intraprese dai tuoi utenti per scopi legittimi.
Chi riceve le notifiche relative alle azioni sensibili
Google Cloud notifica alla tua organizzazione le azioni sensibili inviando una notifica via email ai contatti fondamentali a livello di organizzazione essenziali per la sicurezza. Se non sono configurati contatti fondamentali, la notifica via email viene inviata a tutti gli account che hanno il ruolo IAM Amministratore dell'organizzazione a livello di organizzazione.
Disattivazione in corso…
Se non vuoi ricevere notifiche relative alle azioni sensibili nella tua organizzazione, puoi disattivarle. Per ulteriori informazioni, consulta Configurare le notifiche. La disattivazione delle notifiche relative alle azioni sensibili influisce solo sulle notifiche inviate tramite Notifiche di consulenza. I log delle azioni sensibili vengono sempre generati e non sono interessati dalla disattivazione delle notifiche. Se utilizzi Security Command Center, il servizio Azioni sensibili non è interessato dalla disattivazione delle notifiche relative alle azioni sensibili.
Come funzionano le azioni sensibili
Google Cloud rileva le azioni sensibili monitorando gli audit log delle attività di amministrazione della tua organizzazione. Quando viene rilevata un'azione sensibile, Google Cloud scrive l'azione nel log della piattaforma del servizio Azioni sensibili nella stessa risorsa in cui si è verificata l'attività. Google Cloud include anche l'evento in una notifica inviata tramite le Notifiche di consulenza.
Frequenza di notifica
La prima volta che viene rilevata un'azione sensibile nella tua organizzazione, ricevi un report che include l'azione iniziale e tutte le altre azioni che si verificano nell'ora successiva. Dopo il report iniziale, ricevi report per le nuove azioni sensibili nella tua organizzazione al massimo una volta ogni 30 giorni. Se non sono state eseguite azioni sensibili nella tua organizzazione per un lungo periodo di tempo, potresti ricevere il report di un'ora la prossima volta che viene rilevata un'azione sensibile.
Quando le azioni sensibili non vengono prodotte
Google Cloud segnala le azioni sensibili solo se l'entità che esegue l'azione è un account utente. Le azioni intraprese da un service account non vengono segnalate. Google ha sviluppato questa funzionalità per proteggere dagli avversari che ottengono l'accesso alle credenziali degli utenti finali e le utilizzano per intraprendere azioni indesiderate negli ambienti cloud. Poiché molte di queste azioni sono comportamenti comuni per i service account, i log e le notifiche di consulenza non vengono generati per queste identità.
Le azioni sensibili non possono essere rilevate se hai configurato gli audit log delle attività di amministrazione in modo che si trovino in una regione specifica (ovvero non nella regione global). Ad esempio, se hai
specificato una regione di archiviazione
per il bucket di log _Required in una determinata risorsa, i log di quella risorsa
non possono essere sottoposti a scansione per rilevare azioni sensibili.
Se hai configurato gli audit log delle attività di amministrazione in modo che vengano criptati con chiavi di crittografia gestite dal cliente, i log non possono essere sottoposti a scansione per rilevare azioni sensibili.
Azioni sensibili in Security Command Center
Se utilizzi Security Command Center, puoi ricevere le azioni sensibili come risultati tramite il servizio Azioni sensibili.
Sebbene i log delle azioni sensibili e Notifiche di consulenza forniscano una visione del comportamento dell'account nella tua organizzazione, Security Command Center offre ulteriori informazioni e funzionalità di gestione per i team di sicurezza che proteggono carichi di lavoro e ambienti più complessi, di grandi dimensioni o importanti. Ti consigliamo di monitorare le azioni sensibili come parte della tua strategia di monitoraggio della sicurezza complessiva.
Per ulteriori informazioni su Security Command Center, consulta le seguenti risorse:
Prezzi
Le notifiche relative alle azioni sensibili in Notifiche di consulenza sono fornite senza costi aggiuntivi. I log delle azioni sensibili in Cloud Logging comportano costi di importazione e archiviazione in base ai prezzi di Logging. Il volume delle voci di log delle azioni sensibili dipende dalla frequenza con cui gli account utente della tua organizzazione eseguono azioni sensibili. Queste azioni sono in genere rare.
Tipi di azioni sensibili
Google Cloud ti informa dei seguenti tipi di azioni sensibili.
Sensitive Roles Added
A un'entità con un ruolo IAM Proprietario (roles/owner) o Editor (roles/editor) è stato concesso a livello di organizzazione. Questi ruoli consentono un numero elevato di azioni in tutta l'organizzazione.
Billing Admin Removed
Un ruolo IAM Amministratore account di fatturazione (roles/billing.admin) è stato rimosso a livello di organizzazione. La rimozione di questo ruolo può impedire agli utenti di avere visibilità e fornire a un avversario un meccanismo per rimanere non rilevato.
Organization Policy Changed
È stata creata, aggiornata o eliminata una policy dell'organizzazione a livello di organizzazione. Le policy dell'organizzazione a questo livello possono influire sulla sicurezza di tutte le risorse della tua organizzazione's Google Cloud .
Project-level SSH Key Added
È stata aggiunta una chiave SSH a livello di progetto a un Google Cloud progetto che in precedenza non aveva una chiave di questo tipo. Le chiavi SSH a livello di progetto possono concedere l'accesso a tutte le macchine virtuali (VM) del progetto.
GPU Instance Created
Una persona che non aveva creato di recente un'istanza GPU in un progetto ha creato una VM con una GPU in quel progetto. Le istanze di Compute Engine con GPU possono ospitare carichi di lavoro come il mining di criptovalute.
Many Instances Created
Un utente ha creato più istanze VM in un determinato progetto. Un numero elevato di istanze VM può essere utilizzato per carichi di lavoro imprevisti, come il mining di criptovalute o gli attacchi Denial of Service.
Many Instances Deleted
Un utente ha eliminato più istanze VM in un determinato progetto. Un numero elevato di eliminazioni di istanze può interrompere la tua attività.
Passaggi successivi
- Scopri come visualizzare le notifiche.
- Scopri come rispondere alle notifiche relative alle azioni sensibili.
- Scopri come attivare o disattivare le notifiche.